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Abstract of DE1 0044837 

The tampering detection circuit has a signal line 
(1) supplied with a clock signal and at least one 
line pair (2,3; 4,5) for coding a bit connected 
between 2 separate circuit blocks (A,B) of the 
protected IC. The signal line and at least one line 
pair are coupled to a detector circuit (1 1 ) which 
exhibits a variation in its function sequence 
dependent on the signals obtained from the 
signal line and the line pair. An Independent 
claim for a tampering detection method for an IC 
is also included. 
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® Schaltungsanordnung und Verfahren zum Detektieren eines unerwiinschten Angriffs auf eine integrierte 
Schaltung 

® Die Erfindung schlagt eine Schaltungsanordnung zum 
Detektieren eines unerwiinschten Angriffs auf eine inte- 
grierte Schaltung vor, wobei die Schaltungsanordnung 
eine Signalleitung, die mit einem Taktsignal beaufschlagt 
ist, wenigstens ein Leitungspaar, das jeweils zur Codie- 
rung eines Bits dient, aufweist, wobei die Signalleitung 
und das wenigstens eine Leitungspaar zwischen einem 
ersten und einen zweiten Schaltungsblock der integrier- 
ten Schaltung verschalten sind. Die Signalleitung und das 
wenigstens eine Leitungspaar sind mit einer Detektor- 
schaltung verbunden, die in Abhangigkeit der Signale der 
Signalleitung und des wenigstens einen Leitungspaares 
die integrierte Schaltung in ihrem Funktionsablauf an- 
dert. Die Detektorschaltung kann gleichermaRen zum Test 
auf Produktionsfehler verwendet werden. 
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Beschreibung 

Die vorliegende Erfindung betrifft eine Schaltungsanord- 
nung zum Detektieren eines unerwiinschten Angriffs auf 
eine integrierte Schaltung mit einer Signalleitung, die mit ei- 
nem Taktsignal beaufschlagt ist sowie mit wenigstens einem 
Leitungspaar, das jeweils zur Codierung eines Bits dient, 
wobei die Signalleitung und das wenigstens eine Leitungs- 
paar zwischen einem ersten und einem zweiten Schaltungs- 
block der integrierten Schaltung verschalten sind. 

Viele Schaltungen, die zum Beispiel in Mikroprozesso- 
ren, Security Token oder anderen Datenverarbeitungseinhei- 
ten eingesetzt werden, benbtigen eine vor physikalischen 
Angriffen und vor Abhbren gesicherte Verarbeitung von Da- 
ten auf einem hohen Sicherheitsniveau. Ein derartiger An- 
griff ist durch Analyse der integrierten Schaltung mittels 
"Reverse Engineering" moglich. Mittels dieser Analyse ist 
es moglich, sowohl die Funktionsweise der integrierten 
Schaltung zu analysieren als auch die Funktionsweise zum 
Zwecke einer Manipulation eines Dateninhaltes oder des 
Funktionsablaufes zu beeinflussen. 

In der Praxis existieren bereits verschiedene Verfahren, 
mit denen eine derartige Analyse zumindest erschwert wer- 
den kann. 

Zum Beispiel ist es bekannt, die integrierte Schaltung mit 
einem sogenannten "Shield" abzudecken. Ein Shield besteht 
dabei aus wenigstens zwei iiber der integrierten Schaltung - 
in der Regel maanderformig - verlaufenden Leiterbahnen. 
Eine Unterbrechung oder ein KurzschluB dieser Leiterbah- 
nen wird durch eine Auswerteschaltung detektiert, die dann 
die integrierte Schaltung in einen sicheren Zustand ver- 
bringt. Dies kbnnte beispielsweise das Auslbsen eines Re- 
sets oder das Loschen von Speicherinhalten sein. 

Weiterhin sind Verfahren bekannt, mit dem die Entfer- 
nung eines aus Pressmasse bestehenden Kunststoffgehauses 
detektiert werden kann. Dabei wird die sich andernde Kapa- 
zitat zwischen zwei Leiterziigen beim Entfernen der Kunst- 
stoffpressmasse detektiert. Zu diesem Zweck ist eine Mehr- 
zahl an Sensoren in dem Kunststoffpressmassengehause 
vorgesehen. 

Weiterhin gibt es Verfahren, die die Entfernung der Passi- 
vierungsschicht iiber die Chipoberflache detektieren. 

Um kryptoanalytische Angriffe abzuwehren, werden inte- 
grierte Schaltungen in sicherheitsrelevanten Einsatzgebieten 
oftmals in der als "Dual-Rail with Precharge" bekannten 
Schaltungstechnik reaUsiert. Ein Bit wird dabei mittels 
zweier komplementarer Leitungen codiert. In einer ersten 
Taktphase, der sogenannten "Precharge Phase" werden die 
beiden komplementaren Leitungen vorgeladen (Logisch 1 
oder High), wodurch vorher gespeicherte Informationen ge- 
loscht werden. In der zweiten Taktphase, der sogenannten 
"Evaluation Phase" wird eine der beiden Leitungen entladen 
(Logisch 0 oder Low) und in der nachsten Taktflanke ausge- 
wertet. 

All die oben genannten Detektionsverfahren dienen dazu, 
einen Zugriff auf die Leiterzuge der integrierten Schaltung 
zu verhindern. Sobald diese Hiirden iibersprungen sind, 
konnen die iiber die Leiterzuge der integrierten Schaltung 
gesendeten Daten analysiert oder manipuliert werden. Letz- 
teres kann z. B. durch Aufpragen einer Spannung oder durch 
Durchtrennen von Leitungen geschehen. 

Die Aufgabe der vorliegenden Erfindung besteht deshalb 
darin, eine Schaltungsanordnung sowie ein Verfahren zum 
Detektieren eines unerwiinschten Angriffs auf eine inte- 
grierte Schaltung anzugeben, die einen verbesserten Schutz 
ermoglicht. 

Diese Aufgabe wird mit den Merkmalen des Patentan- 
spruches 1, der die Schaltungsanordnung wiedetgibt, sowie 
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mit den Merkmalen des Patentanspruches 4, in welchem das 
Verfahren wiedergegeben ist, gelbst. Vorteilhafte Ausgestal- 
tungen ergeben sich aus den untergeordneten Anspriichen. 
Die integrierte Schaltung bedient sich dabei der oben ge- 
5 nannten "Dual-Rail with Precharge'-Technologie, das heiBt 
zur Codierung eines Bits wird ein Leitungspaar verwendet. 
Die integrierte Schaltung kann dabei eine Vielzahl an Lei- 
tungspaaren aufweisen. ErfindungsgemaB ist vorgesehen, 
daB eine Signalleitung, die mit einem Taktsignal beauf- 
10 schlagt ist, und das wenigstens eine Leitungspaar mit einer 
Detektorschaltung verbunden sind, die in Abhangigkeit der 
Signale der Signalleitung und des wenigstens einen Lei- 
tungspaares die integrierte Schaltung in ihrem Funktionsab- 
lauf andert. 

15 In einer Variante ist jede Leitung des wenigstens einen 
Leitungspaares direkt mit der Detektorschaltung verbunden. 
Alternativ konnen die Leitungspaare bei einem Multiplexer 
mit der Detektorschaltung verbunden sein. Die Signallei- 
tung, die mit einem Taktsignal beaufschlagt ist, ist in jeder 

20 der beiden Varianten mit der Detektorschaltung verbunden. 
Die erfindungsgemaBe Schaltungsanordnung macht sich 
dabei den Umstand zu Nutze, daB den gultigen Zustanden 
bei der "Dual-Rail with Precharge"-Technologie den gulti- 
gen logischen Zustanden fiinf verbotene Zustande gegen- 

25 uberstehen. Diese werden durch die Detektorschaltung er- 
mittelt, wodurch im Bedarfsfall der Funktionsablauf der in- 
tegrierten Schaltung geandert werden kann. 

Neben der Detektion von verbotenen Zustanden im Be- 
trieb der geschiitzten Schaltung, die auf einen physikali- 

30 schen Angriff (zum Beispiel mittels Nadeln, FEB "Focused 
Ion Beam", Licht-, Temperatur-, Spannungsmanipulation) 
hinweisen, kann die erfindungsgemaBe Schaltungsanord- 
nung bereits beim Produktionstest, das heiBt dem Selbsttest 
der Schaltung, aktiviert werden. Hierdurch konnen Produk- 

35 tionsfehler, zum Beispiel Stuck-At-One oder Stuck-At- 
Zero-Fehler, detektiert werden. Da bei der Produktion der 
integrierten Schaltung davon ausgegangen werden kann, 
daB keine Angriffe vorliegen, weisen ungiiltige Werte bei 
den Leitungspaaren auf eine Fehlfunktion, zum Beispiel ei- 

40 nen KurzschluB hin. 

Die erfindungsgemaBe Schaltungsanordnung ist vorteil- 
hafterweise auBerst einfach aufgebaut, da sie zusatzlich le- 
diglich eine Detektorschaltung benotigt, welche mit den 
Leitungspaaren und der Signalleitung, die mit einem Taktsi- 

45 gnal beaufschlagt ist. 

Die Funktionsweise der erfindungsgemaBen Schaltungs- 
anordnung wird aus dem nachfolgend beschriebenen Ver- 
fahren deutlich. 
Bei einem ersten Signalwert der Signalleitungen werden 

50 die zwei Leitungen eines Leitungspaares auf einen gleichen 
Signalpegel hin detektiert. Bei einem zweiten Signalwert 
der Signalleitung werden die zwei Leitungen eines Lei- 
tungspaares auf einen unterschiedlichen Signalpegel hin de- 
tektiert, wobei bei einer Abweichung von den erwarteten Er- 

55 gebnissen die integrierte Schaltung in ihrem Funktionsab- 
lauf geandert wird. 

Mit anderen Worten bedeutet dies, daB bei einem der fiinf 
verbotenen Zustande, die nachfolgend naher eriautert wer- 
den, ein Funktionsablauf der integrierten Schaltung herbei- 

60 gefiihrt wird. Das erfindungsgemaBe Verfahren bedient sich 
dabei der Uberwachung des Ladungszustandes (Signalpe- 
gel) der beiden Leitungen eines Leitungspaares, wobei die 
Uberpriifung der verbotenen Zustande mittels einer Zu- 
stands- oder Giiltigkeitstabelle dargestellt werden kann. Die 

65 schaltungstechnische Realisierung der Giiltigkeitstabelle 
stellt eine Standardaufgabe dar und wird hier deshalb nicht 
naher eriautert. 
Die Precharge-Phase kann prinzipiell wahlweise bei ei- 
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nera ersten Signalwert Logisch 0 oder Logisch 1 festgelegt 
werden. 

Vorteilhafterweise ist der erste Signalwert der Signallei- 
tung Logisch 0. In diesem Fall entspricht die Zustandsta- 
belle dem iiblichen Vorgehen bei der "Dual-Rail with Pre- 5 
charge'-Technologie. 

Wahrend an der Signalleitung der erste Signalwert an- 
liegt, ist der Signalpegel der zwei Leitungen eines Leitungs- 
paares in einer Ausgestaltung jeweils Logisch 0 oder jeweils 
Logisch 1. Durch einen dieser beiden Zustande wird somit to 
ein gfiltiger "Precharge" festgelegt. Die jeweils drei anderen 
verbleibenden Zustande definieren somit die verbotenen Zu- 
stande. 

Entsprechend ist der zweite Signalwert der Signalleitung 
Logisch 1 oder Logisch 0. Der zweite Signalwert ist somit 15 
grundsatzlich komplementar zu dem ersten Signalwert der 
Signalleitung. 

Wahrend der zweite Signalwert der Signalleitung anliegt, 
ist der Signalwert der ersten Leitung eines Leitungspaares 
Logisch 0 oder 1, wahrend der Signalpegel der zweiten Lei- 20 
tung Logisch 1 oder 0, also komplementar, ist. 

Ein verbotener Zustand liegt folglich dann vor, wenn 
wahrend des zweiten Signalwertes der Signalleitung an bei- 
den Leitungen eines Leitungspaares ein identischerWert an- 
liegt. Insgesamt ergeben sich somit fiinf verbotene Zu- 25 
stande. 

Das erfindungsgemaBe Vorgehen wird anhand der nach- 
folgenden Figuren weiter erlautert. Es zeigen: 

Fig. 1 ein erstes Ausfuhrungsbeispiel der erfindungsge- 
maBen Schaltungsanordnung, 30 

Fig. 2 ein zweites Ausfuhrungsbeispiel der erfindungsge- 
maBen Schaltungsanordnung, 

Fig. 3 einen beispielhaften Signalverlauf der Signallei- 
tung sowie zweier Leitungspaare, und 

Fig. 4 bis 7 vier Zustandstabellen. 35 

Fig. 1 zeigt ein erstes Ausfuhrungsbeispiel der erfin- 
dungsgemaBen Schaltungsanordnung zum Detektieren eines 
unerwiinschten Angriffs auf eine integrierte Schaltung. Die 
integrierte Schaltung wird in der vorliegenden Fig. 1 bei- 
spielhaft durch die Schaltungsblocke A, B dargestellt, zwi- 40 
schen denen sich LeiterzUge 1 bis 5 beflnden. Der Leiterzug 

I stellt dabei die Signalleitung "Clock" dar, die mit einem 
Taktsignal beaufschlagt ist. Weiterhin sind beispielhaft zwei 
Leitungspaare Ll.l, L2.1 sowie Ll.n, L2.n dargestellt. Zwi- 
schen den Schaltungsblocken A, B konnen somit im vorlie- 45 
genden Beispiel zwei Bit ubertragen werden. Prinzipiell 
konnen natiirlich beliebig viele Leitungspaare zwischen den 
Schaltungsblocken A und B verschalten sein. 

ErfindungsgemaB ist zur Uberwachung der Leiterzuge 
eine Detektorschaltung 11 vorgesehen. Jede der Signallei- 50 
tungen 1 bis 5, die zwischen den Schaltungsblocken A, B 
verschalten ist, ist mit der Detektorschaltung 11 verbunden. 
Dies wird durch die Leiterzuge 6 bis 10 dargestellt. Im Falle 
eines verbotenen Zustandes kann die Detektorschaltung 11 
fiber eine Leitung 12 einen Alarm auslosen, wodurch die in- 55 
tegrierte Schaltung beispielsweise neu gestartet werden 
kann oder sicherheitsrelevante Daten geloscht werden kon- 
nen. 

Weiterhin ist es denkbar, die Detektorschaltung 11 selek- 
tiv mittels einer Signalleitung 13 zu aktivieren oder zu deak- 60 
tivieren. 

In dem ersten Ausfuhrungsbeispiel nach Fig. 1 ist jede 
der Signalleitungen 1 bis 5 direkt mit der Detektorschaltung 

II verbunden. In dem Ausfuhrungsbeispiel nach Fig. 2 ist 
lediglich die Signalleitung 1, an der das Taktsignal anliegt, 65 
fiber die Signalleitung 6 direkt mit der Detektorschaltung 11 
verbunden. Die Leitungspaare Ll.l, L2.1 sowie Ll.n, L2.n 
sind hingegen iiber einen Multiplexer 14 mit der Detektor- 
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schaltung 11 verbunden, 

Wahrend in der Fig. 1 eine Uberpriifung aller Leitungs- 
paare gleichzeitig erfolgen kann, werden die Leitungspaare 
in der Fig. 2 nacheinander auf einen verbotenen Zustand hin 
iiberprfift. Da die Funktionsweise eines Multiplexers aus 
dem Stand der Technik hinlanglich bekannt ist, wird an die- 
ser Stelle auf eine ausfuhrliche Beschreibung der Funktions- 
weise verzichtet. 

Anhand der Zustandstabellen in den Fig. 4 bis 7 kann die 
Funktionsweise der erfindungsgemaBen Schaltungsanord- 
nung besser verstanden werden. In der ersten Spalte ist die 
Nummer eines moglichen Zustands gekennzeichnet. Die 
Spalten 2 bis 4 bezeichnen mogliche Zustande der Signallei- 
tung Clock sowie der zwei Leitungen eines Leitungspaares, 
die im vorliegenden Fall mit Ll.k, L2.k gekennzeichnet 
sind. Der Platzhalter k steht dabei stellvertretend fiir Lei- 
tungspaare 1 bis n. In der letzten Spalte ist der logische 
Wert, der von der Detektorschaltung 11 iiberwacht wird, an- 
gegeben. 

Wahrend der ersten vier Zustande (Zustandsnummer 1 bis 
4) befindet sich die Signalleitung Clock in der sogenannten 
Precharge-Phase. Wahrend dieser Phase miissen die La- 
dungszustande der zwei Leitungen eines Leitungspaares 
Ll.k, L2.k identische Werte aufweisen. In den Fig. 4 und 6 
ist dies der Fall, wenn Ll.k und L2.k den Wert Logisch 1 
aufweisen, wahrend dies in den Fig. 5 und 7 bei einem Wert 
von Logisch 0 der Fall ist. 

In der sogenannten "Evaluation Phase" (Zustandsnummer 
5 bis 8) dfirfen die Leitungen Ll.k, L2.k keinen identischen 
Ladungszustand aufweisen. In diesem Fall liegt ein Fehler 
oder ein Angriff vor. Wahlweise ist es moglich, der Zu- 
standsnummer 6 einen logischen Wert von 0 oder 1 zuzu- 
weisen. Dementsprechend betragt der logische Wert bei der 
Zustandsnummer 7 1 oder 0, das heiBt er ist komplementar 
zu dem logischen Wert der Zustandsnummer 6. 

Die Verwendung der in den Fig. 4 und 5 gezeigten Zu- 
standstabellen ffir das erfindungsgemaBe Detektionsverfah- 
ren ist vorteilhaft, da die Precharge Phase bei einem logi- 
schen Wert 0 der Signalleitung Clock durchgeffihrt wird. Al- 
ternativ ist es natiirlich auch denkbar, die Precharge Phase 
bei einem Wert Logisch 1 und die Evaluation Phase bei ei- 
nem Wert Logisch 0 durchzuffihren. Dies ist in den Zu- 
standstabellen 6 und 7 gezeigt. 

In Fig. 3 ist ein beispielhafter Signalverlauf der Signallei- 
tung "Clock" sowie zweier Leitungspaare Ll.l, L2.1 sowie 
Ll.n, L2.n dargestellt. Fiir die Uberpriifung, ob ein verbote- 
ner Zustand, zum Beispiel ein Fehler oder ein Angriff vor- 
liegt, miissen grundsatzlich die Signale der Signalleitung so- 
wie die Signale eines Leitungspaares miteinander vergli- 
chen werden. Der in der Fig. 3 gezeigte Signalverlauf wird 
nach der Zustandstabelle gemaB Fig. 4 ausgewertet. Somit 
liegt bei dem ersten Leitungspaarbereits wahrend des ersten 
Signalwertes der Signalleitung "Clock" (Taktphase T 0 ) ein 
Fehler vor, da die zweite Leitung L2.1 wahrend der "Pre- 
charge Phase" keinen identischen Signalwert annimmt. 
Wahrend der Taktphasen T 7 , beziehungsweise T 9 liegt wah- 
rend der "Evaluation Phase" jeweils ein Fehler vor, da dort 
die Signalzustande der beiden Leitungen des Leitungspaares 
1 einen identischen Ladungszustand aufweisen, was gemaB 
der Zustandstabelle nach Fig. 4 verboten ist. Ein weiterer 
Fehler findet sich wahrend der Taktphase T 10 . 

Der Signalverlauf des n-ten Leitungspaares hingegen ist, 
wie ein Vergleich mit der Zustandstabelle gemaB Fig. 4 
zeigt, in Ordnung. 

Patentanspriiche 
1. Schaltungsanordnung zum Detektieren eines uner- 
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wiinschten Angriffs auf eine integrierte Schaltung (A, 
B) rait 

- einer Signalleitung (1), die mit einem Taktsi- 
gnal beaufschlagt ist, 

- wenigstens einem Leitungspaar (2, 3; 4, 5), das 5 
jeweils zur Codierung eines Bits dient, 

wobei die Signalleitung (1) und das wenigstens eine 
Leitungspaar (2, 3; 4, 5) zwischen einem ersten und 
zweiten Schaltungsblock (A, B) der integrierten Schal- 
tung verschalten sind, to 
dadurch gekennzeichnet, daB 
die Signalleitung (1) und das wenigstens eine Leitungs- 
paar (2, 3; 4, 5) mit einer Detektorschaltung (11) ver- 
bunden sind, die in Abhangigkeit der Signale der Si- 
gnalleitung (1) und des wenigstens einen Leitungspaa- 15 
res (2, 3; 4, 5) die integrierte Schaltung in ihrem Funk- 
tionsablauf andert. 

2. Schaltungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet, daB jede Leitung des wenigstens einen 
Leitungspaares (2, 3; 4, 5) direkt mit der Detektor- 20 
schaltung (11) verbunden ist. 

3. Schaltungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet, daB die Leitungspaare (2, 3; 4, 5) iiber 
einen Multiplexer mit der Detektorschaltung verbun- 
den sind. 25 

4. Verfahren zum Detektieren eines unerwiinschten 
Angriffs auf eine integrierte Schaltung, die zur Uber- 
tragung je eines Bits zwischen einem ersten und einem 
zweiten Schaltungsblock ein Leitungspaar (2, 3; 4, 5) 
aufweist und die eine Signalleitung (1), die mit einem 30 
Taktsignal beaufschlagt ist, aufweist, bei dem 

a) bei einem ersten Signal wert der Signalleitung 
(1) die zwei Leitungen eines Leitungspaares (2, 3; 
4, 5) auf einen gleichen Signalpegel hin detektiert 
werden, 35 

b) bei einem zweiten Signalwert der Signallei- 
tung (1) die zwei Leitungen eines Leitungspaares 
(2, 3; 4, 5) auf einen unterschiedlichen Signalpe- 
gel hin detektiert werden, 

wobei bei einer Abweichung von den in den Schritten 40 
a) und/oder b) erwarteten Ergebnissen die integrierte 
Schaltung ihrem Funktionsablauf geandert wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, daB der erste Signalwert der Signalleitung (1) Lo- 
gisch 0 oder Logisch 1 ist. 45 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB der Signalpegel der zwei Leitungen eines Lei- 
tungspaares (2, 3; 4, 5) jeweils Logisch 0 oder jeweils 
Logisch 1 ist. 

7. Verfahren nach einem der Anspriiche 4 bis 6, da- 50 
durch gekennzeichnet, daB der zweite Signalwert der 
Signalleitung (1) Logisch 1 oder Logisch 0 ist. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, daB der Signalpegel der ersten Leitung eines Lei- 
tungspaares (2, 3; 4, 5) Logisch 0 oder 1 ist, wahrend 55 
der Signalpegel der zweiten Leitung Logisch 1 oder 0 
ist. 
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